信息安全建设规划方案.docx
- 文档编号:2812675
- 上传时间:2022-11-15
- 格式:DOCX
- 页数:18
- 大小:71.58KB
信息安全建设规划方案.docx
《信息安全建设规划方案.docx》由会员分享,可在线阅读,更多相关《信息安全建设规划方案.docx(18页珍藏版)》请在冰豆网上搜索。
信息安全建设规划方案
商密网建设规划
(初稿)
商密网建设规划方案
一、项目建设背景
建立船舶工业XXXX公司(以下简称“XXXX总部”)商密网,是XXXX总部进一步推动XXXX层面信息化建设和应用,强化信息集中,加强信息化管理的一项重要举措。
随着XXXX信息化规划建设工作的逐步推进,信息集中化已经成为了信息化发展的重点之一。
在XXXX整体的信息化规划当中,为了能够整合XXXX内各单位的资源,加强单位间协作,提高XXXX整体管控能力,规划建设多个全XXXX范围的应用系统。
而XXXX级应用系统需要一个XXXX级网络作为其运行的基础平台。
目前XXXX为了实现商密信息的交流已经建设了覆盖三十余家单位的中船企业网,但该网络存在信息密级高、运行成本高、管理风险大等问题。
不适宜作为一个XXXX级的企业信息沟通平台。
而基于对XXXX商密信息的保护,需要在XXXX范围内建设一个覆盖所有单位的商密网络平台,作为XXXX级应用的基础平台,实现XXXX内部信息的有效交流,提高信息传递效率,降低协作成本。
为此,在XXXX总部领导的高度重视下,提出了建设XXXX总部商密网的需求,是XXXX总部下一阶段发展的重要决策。
二、建设目标
二.1总体目标
XXXX总部商密网的总体建设目标是通过统一规划、统一标准,建立一个覆盖XXXX总部和所有下属企业的商密办公网络平台,为XXXX“六集中”与信息化推进工作提供基础支撑。
推动XXXX层面的信息化建设和应用,强化信息集中,加强信息化管理,提高企业间的协作与沟通能力。
二.2具体目标
1)完成商密网网络平台的建设,建立一个覆盖XXXX总部和所有下属企业的商密办公网络的广域网通信网络,为XXXX级应用以及企业之间的业务应用和数据交换提供网络平台;
2)完成商密网安全保障体系的建设,建立一套完整的、纵深防御的信息系统安全防护体系,建立自上而下的分级安全管理体系,使系统达到国家信息系统安全等级保护标准对第三级信息系统的技术要求和管理要求,并通过主管部门的测评认证;
3)加强应用系统建设,建立XXXX层面的商密业务应用系统,实现一体化的OA、协同设计、生产调度管理。
三、建设原则
1)以应用为目标,以需求为导向。
建设商密网的目标是提高XXXX总部对下属企业的信息化管理水平,通过加强信息集中,提高XXXX总部对重大事项决策的科学性和时效性,从而提高整个XXXX总部及所有下属企业的生产经营水平。
因此,建设商密网的最重要任务是建立覆盖XXXX总部及所有下属企业的业务应用系统。
商密网建设必须充分考虑实际的应用需求,使之成为一个能够充分满足业务应用需求的网络平台。
2)统一标准,统一规划,统一建设,统一管理。
商密网的建设是一个复杂的系统工程,涉及面广,应用需求复杂。
商密网要覆盖XXXX总部和下属六十多家企事业单位,每个单位的网络建设情况各不相同。
为了保证商密网的业务应用需求能够得到满足,保证商密网的网络和信息安全,需要制订一个统一的技术标准和管理标准体系,并按照这个标准对整个商密网的建设方案进行统一的规划、建设和管理,使接入商密网的所有局域网都能够满足相同的技术和安全要求,从整体上保证商密网的安全性和可用性。
3)满足国家安全管理政策,适度安全。
商密网将运行涉及到XXXX总部商业秘密的大量业务应用系统和数据,确保这些应用系统和数据的安全是XXXX总部和下属企业持续、稳定发展的保证,因此必须将商密网安全保障体系的建设作为商密网建设的重要内容对待。
同时,在保证安全的前提下,要确保业务应用系统的可用性。
当安全机制影响到业务应用时,可以采取适当的风险处置措施,降低业务应用的风险。
4)在保证信息安全前提下的持续可用性与人性化设计。
商密网的建设是为了促进XXXX信息化建设,开辟一个XXXX级有效沟通的平台并有效服务于用户是商密网的重要目标。
要保证这个平台的持续可用能力,商密网整体需要能够持续稳定可靠的运行,确保商密网用户能够随时使用商密应用。
同时,在网络规划与安全建设上,要尽量考虑更人性化的技术。
即确保安全体系的完整性,又在使用上尽量减少对用户正常操作的干扰。
5)充分利用现有资源,节能减排。
充分利用现有的设备资源,充分考虑应用需求进行硬件资源的配置。
加强服务资源的整合,引入集中存储,集中运算、虚拟化等技术,提高对基础设施的利用率。
降低商密网整体能耗,达到节能减排目标。
6)以点带面,分步实施。
充分将商密网建设与XXXX实际发展需要相结合,分阶段完成商密网的整体建设。
充分评估系统风险,以解决基本风险为安全防护需求,逐步完善商密网安全保障体系建设。
在保证应用需求的基础上,各接入单位采用按需接入的方式,逐步拓展商密网规模,最终实现商密网对XXXX内所有商密内网的完全覆盖;在保证基本安全的基础上,根据风险需求与应用情况,不断完善商密网安全建设,最终建立起全面、可持续发展的商密网信息安全保障体系。
四、建设依据
四.1基础类标准
●《计算机信息系统安全保护等级划分准则》(GB17859-1999)
●《信息系统安全等级保护基本要求》(GB/T22239-2008)。
四.2应用类标准
●《信息系统安全保护等级定级指南》(GB/T22240-2008)
●《信息系统安全等级保护实施指南》(信安字[2007]10号)
●《信息系统通用安全技术要求》(GB/T20271-2006)
●《信息系统等级保护安全设计技术要求》(信安秘字[2009]059)
●《信息系统安全管理要求》(GB/T20269-2006)
●《信息系统安全工程管理要求》(GB/T20282-2006)
●《信息系统物理安全技术要求》(GB/T21052-2007)
●《网络基础安全技术要求》(GB/T20270-2006)
●《信息系统安全等级保护体系框架》(GA/T708-2007)
●《信息系统安全等级保护基本模型》)(GA/T709-2007)
●《信息系统安全等级保护基本配置》(GA/T710-2007)
四.3其他类标准
●《信息安全风险评估规范》(GB/T20984-2007)
●《信息安全事件管理指南》(GB/Z20985-2007)
●《信息安全事件分类分级指南》(GB/Z20986-2007)
●《信息系统灾难恢复规范》(GB/T20988-2007)
四.4信息安全框架
●开放系统安全框架(ISO10181-1)
●鉴别框架(ISO10181-2)
●访问控制框架(ISO10181-3)
●抗抵赖框架(ISOl0181-4)
●完整性框架(ISO1018l-5)
●保密性框架(ISOl018l-6)
●安全审计框架(ISO1018l-7)
●管理框架(ISO7498-4)
●安全保证框架(ISO/IECWDl5443:
1999)
五、建设规划
商密网建设涵盖XXXX内部各单位,总体建设上需要完成XXXX商密网的整体建设,实现北京中心和上海中心的建设布局,结合管理与运维需求建立网络安全管理平台,综合考虑应用管理需求建立统一身份认证与访问控制平台并完成基于虚拟化技术的应用服务支撑平台。
在集中建设的同时,通过制定网络建设与管理指南规范商密接入网的建设与改造工作。
五.1商密网网络建设
结合XXXX商密网应用与标准要求,综合考虑成本与信息安全,完成商密网的整体规划与建设。
实现XXXX总部和下属企业的商密网的连通,为XXXX总部层面的业务应用系统提供一个安全、可靠、高效、可管理、可扩展的网络通信环境。
各单位商密网络需要根据统一的安全规范要求进行网络安全改造,根据应用需要进行商密网的接入。
五.2商密网基础平台建设
根据商密网统一管理、统一运维的需求,建设商密网基础平台,支持根据XXXX部署,在北京总部和上海总部建设商密网应用与管理中心,搭建XXXX级应用系统为商密网全体接入用户服务,建设统一的安全管理平台实现对商密网的整体管理。
五.3商密网应用建设
根据XXXX统一管控与信息集中需求,建设XXXX级商密网应用。
充分考虑应用系统的覆盖范围与功能性能需求,建设基础支撑平台,合理分配系统资源。
保证应用系统稳定运行并接受商密网的统一安全管理。
五.4商密网安全体系建设
建设商密网安全防护体系,保证商密网上运行的业务应用系统及其数据的安全保密性,使商密网达到国家信息系统安全等级保护第三级信息系统的标准,为商密网提供一个安全、可靠、稳定的运行环境。
六、商密网网络建设
六.1网络通信平台设计目标
网络通信平台的设计目标是利用Internet技术和标准,实现XXXX总部和下属企业的商密局域网的连通,为XXXX总部层面的业务应用系统提供一个安全、可靠、高效、可管理、可扩展的网络通信环境。
六.2方案简述
商密网网络建设以互联网为基础,充分利用互联网现有的路由环境,实现各个接入网络之间的互联互通。
各个接入网络相互对等,通过VPN方案建立起来的虚拟网络进行接入网络之间的信息通讯。
采用国家密码管理部门认可的SM1商密加密算法对网络通讯数据进行加密。
确保通讯数据在公网传输过程中的有效保密。
六.3网络通信平台结构
六.3.1网络层次结构
商密网采用平级结构,如图1所示。
图1网络层次结构
六.3.2网络冗余设计
考虑XXXX的应用中心、数据中心和管理中心对网络构架与服务提供的核心地位,出现故障对整个网络的影响比较大。
因此,需要在中心引入多条不同提供商的链路,充分考虑南北网络特点以及各企业接入网络供应商情况。
确保各企业能够通过高速链路连入到整个商密网。
多条链路通过路由器或加密设备本身实现路由负载均衡,确保出现个别链路故障的情况下,中心仍旧能够对下属船厂提供网络服务。
六.4网络线路及带宽选择
商密网网络线路选择充分考虑应用的需求以及建设成本,以优质互联网专线作为主要的网络通讯线路。
在XXXX中心,建立由多条供应商链路组合而成的100M出口带宽。
各企业根据对商密网应用的需求,建立10M~100M互联网出口带宽。
六.5商密接入网改造
商密接入网是商密网的主要组成部分,各企业需要根据商密网接入要求以及自身应用需求,对自身的商密接入网进行改造与建设。
对于没有商密内网的企业,需要根据商密使用需求,进行商密接入网的建设。
对于已有商密内网的企业,需要根据商密接入网建设规范进行改造,使之达到XXXX对商密接入网的统一安全防护与管理需求。
确保在接入XXXX商密网后,不会对XXXX商密网造成影响,并能够纳入到XXXX商密网的整体管理中。
各商密接入网需要达到国家信息系统安全等级保护标准对第三级信息系统的要求,通过主管部门的安全检测,满足商密网的安全管理要求后,才允许接入商密网。
六.5.1网络建设
目前,部分企业没有建设非涉密办公网络。
为保证商密网到这些单位的延伸,需要根据企业接入的需求进行商密接入网的建设。
需要建设商密接入网的企业主要包括如下类型:
●企业内以建立了内部网络,但为涉密信息系统。
没有其他的网络布线。
●企业建立了与互联网连接的网络,用于互联网信息的使用与检索。
未建立办公内网。
●企业目前没有建立成规模的网络。
对于以涉密信息系统为主体的企业,需要充分评估涉密信息系统的需求,在确保涉密信息系统规模符合工作需要的同时,调整涉密信息系统范围。
改造已有网络布线,在保证隔离要求的情况下形成内网网络基础。
对于建立了外网的企业,需要根据需求进行网络的调整,缩小互联网范围,建立办公内网。
未建立规模网络的企业,需要根据办公需求进行网络设计,完成综合布线,建立办公内网。
六.5.2网络结构改造
已有商密接入网的企业,在商密接入网接入商密网前,要进行必要的网络结构调整。
根据商密接入网建设规范要求,按照职能对网络进行安全域的划分,通过逻辑隔离设备和边界安全控制设备进行隔离和数据控制。
根据应用部署的需求,制定细致的安全访问控制策略。
六.5.3北京总部商密接
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 建设 规划 方案